System Volume Information
 

Halli hallo.

Kurz ein paar Sachen zur Vorgeschichte:

Ich habe auf meinem PC vor ca. einem Jahr die Systemwiederherstellung komplett deaktiviert da sie
a) nicht funktionierte und ich auch nicht rausfinden konnte warum. (sinngemäße Fehlermeldung als ich versucht habe einen Punkt zu laden: "System konnte nicht wiederhergestellt werden da zu wenig Änderungen am System vorgenommen wurden.. :confused: ) totaler Schwachsinn!
b) hat es mich nicht sonderlich gestört da ich eh andauernd Backups mache..

Nun habe ich allerdings heute ziemlich verwundert festgestellt, dass Kav die Restore Ordner (die eigentlich garnicht da sein dürften!) untersucht..?!?
Nochdazu scheinen die Ordner keinesfalls leer zu sein..

Hat jemand eine Idee was da los ist?

Hi,

der Ordner bleibt auch weiterhin vorhanden, ist auch nicht ganz leer, sollte aber fast leer sein.

Du kannst aber mal reinschauen: Konto mit Administratorrechten, Eigenschaften des Ordners -> Register Sicherheit und dort dein Administratorkonto mit Vollzugriff hinzufügen. Später am besten wieder entfernen, auch wenn ich noch nicht erlebt habe, dass das System darüber stolpert.

Gruß, Karl

Vista? Dann mußt du zusätzlich noch den Besitz am Ordner übernehmen, was wiederum dazu führt, vorher noch den Besitz an der Partition zu übernehmen. Paar Palisadengänge braucht's schon beim sichersten Windows aller Zeiten :blabla:

der ist alles andere als leer! Sonst hätte ich mich nicht so gewundert.. Kann nicht genau sagen wieviel noch drinn ist aber Kav hat gut eine Viertelstunde gebraucht um den durch zu ackern... Jede Menge .exe Dateien und anderes Zeug.. :confused:

Der Ordner ist nicht sichtbar!

Administrator Konto hat bei mir überall Vollzugriff. OS ist XP-Pro. Habe auch extra nochmal nachgeguckt.
Das AdminKonto hat Vollzugriff auf Laufwerk D:\, es werden alle Ordner angezeigt (auch versteckte usw.) aber der SystemVolumeInformation ist trotzdem nicht da?? :lmaa: Kaspersky findet ihn aber.. MWAVE und SSW übrigens auch..

Etwas seltsam. Vielleicht erstmal die Systemwiederherstellung im Wechsel aktivieren und deaktivieren. Vielleicht hat Windows hat aus irgendeinem Grund bei der letzten Deaktivierung den Ordner nicht beräumt.

Ich hab gerde mal auf einem System mit deaktivierter Systemwiederherstellung reingeschaut: Inhalt ist genau eine Datei tracking.log von 20 KByte.

Ist die Anzeige von Systemdateien und Systemordnern ebenfalls aktiviert? Mein Standardtextbaustein dazu:

Danke für die Hilfe Karl..

Den Ordner sehe ich jetzt.. (hatte was mit 'ner Einstellung in einem anderen Prog zu tun...) nur drauf zugreifen kann ich trotz Vollzugriff nicht... Der Zugriff wird verweigert..

Odner ist 0kb groß... und trotzdem finden Kaspersky und SSW jede Menge Dateien drinn wenn ich einen Vollscan mache.. Wähle ich allerdings mit Rechtsklick den Ordner an und ordne einen Scan an so wird nichts durchsucht.. ?? häää?

Auf meinem XP klappt das ohne Probleme. Steht die Frage im Raum, was Du alles an Software am laufen hast. KIS z.B. baut das System ziemlich um. Hast Du den ProzessExplorer? Dort Strg-F, "System Volume Information" eingeben und geöffnete Handle suchen lassen. Vielleicht wird dann ersichtlich, wer dir den Zugriff verweigert. Ein Hijackthis vielleicht?

Ansonsten würde ich an deiner Stelle jetzt eben mal Knoppix oder BartPE einlegen, starten und dann in den Ordner schauen. Wenn Du noch nicht haben solltest: Zumindest eins davon sollte man immer griffbereit haben.

Hmm, ich will den Teufel ja nicht an die Wand malen, aber ich erinnere mich an einen Fall, bei dem ein Backdoorserver und ein FTP-Server von einem Rootkit in der Systemwiederherstellung versteckt wurde. Außerdem lagen dort viele GByte Filme und Warez, die via FTP ausgeliefert wurden. Aufgefallen sind an dem System ursprünglich nur, dass das Internet langsamer war als erwartet und dass der freie Platz auf der Platte zu klein war.

Moin undoreal, das klingt bisher nur nach nem Rechteproblem. Bevor du Karls schweres Geschütz auffährst :D, poste vorher mal die Ausgabe von

c:\>cacls "System Volume Information"

Grüße

edit: Ne gute Frage ist allerdings, warum Kaspersky beim manuellen scan überhaupt nichts scannt. IIRC läuft auch der manuelle scan mit Systemrechten. :confused:

Halli hallo.

mein Speicherplatz auf C: nimmt teilweise dramatisch ab sodass er mir die Datenträgerbereinigung anbietet.. obwohl eigentlich 5GB frei sein sollten. Nach der Bereinigung ist aber alles wieder so wie es sein soll.. Ich habe das bisher auf Temporäre Daten zurückgeführt da das Ereigniss meist auftritt wenn der Rechner grade extrem viele Daten verarbeitet..
so ein ganz kleines bischen mulmig ist mir jetzt allerdings schon.. ^^



PS zum edit:

Der manuelle scan läuft auf jeden Fall mit Vollrechten.. Er startet den Scan auch nur durchsucht er halt 0 byte..

Was passiert bei

cacls "System Volume Information" /e /t /g *DeinKontoname*:F

Was sagt Sequoia View?

Ich habe mir das mit Kaspersky noch mal angeschaut. Der scanner läuft auch beim manuellen scan mit Systemrechten (zu sehen über die handles im Process explorer), allerdings im Benutzerkontext, KAV nennt das "Impersonating". Das findest du bei den erweiterten Scaneinstellungen. D.h. grundsätzlich hängen die Zugriffsrechte beim scan von deinen Benutzerrechten ab. Mit dem Process Monitor schaut das so aus Anders scheint es beim scan von Systeminterna zu laufen. Setzt du das Häkchen bei "Systemwiederherstellung" geht der scan durch, da Kaspersky anders zugreift, wie genau, kann ich dir auch nicht sagenDer Unterschied wird deutlich, wenn du beim Virenscan "Systemwiederherstellung" + "D:\System Volume Information" scannst.

http://img527.imageshack.us/img527/9241/kavro2.jpg

Müsste man auch wissen, was genau von Kaspersky installiert ist. In der letzten Zeit habe ich mit Kasperskys Internet Security einige wüste Sachen erlebt, z.B. dass sie nicht kompatibel mit Microsofts ProzessMonitor ist (bzw. den am laufen hindert), was einige Untersuchungen verhindert hat. Scheint das System mächtig umzubauen und nichts neben sich zu dulden. Hab zwar keinen Link zur Hand, aber für Kaspersky gibt es doch ein Supportforum, das einen guten Ruf hat. Will ja niemanden abschieben, aber ich denke, die Spezialisten für Kaspersky sind dort in größerer Zahl zu finden. Ich fühle mich bereits mit Antivir Classic überversorgt.

Ich bin auch im Kaspersky Forum registriert aber ich habe dort noch nicht gepostet da ich das Problem eigentlich nicht wirklich auf Kis sonder auf eine defekte Systemwiederherstellung tippe da die Probleme mit den Wiederherstellungspunkten schon sehr viel länger besteht..

=>"Zuordnung von Kontonamen und Sicherheitskennungen wurde nicht durchgeführt."

es zeigt mir ein hübsches Bildchen meiner Platte an.. aber was soll ich damit? =)


vielen Dank nochmal an alle..

Hmm, schräg. Sicher, dass du den richtigen Kontonamen eingegeben hast?

XP unterscheidet zwischen Kontoname und "vollständiger Kontoname". Letzterer wird zB im Startmenü/Willkommensbildschirm angezeigt, der ist falsch. Du brauchst den NT-Namen, zu finden in der Computerverwaltung unter Benutzer bzw.

wmic
"useraccount" -> unter caption

(mit "Administrator" biste auf der sicheren Seite :D)